本文摘要
為了阻止網站收集用戶信息,浏覽器制作者研發了一種通常稱為“私密浏覽”的模式,它是一個可選設置,用以阻止發送可識別的用戶數據,比如cookies。本文分析了私密浏覽模式是否真的安全,保密。
近幾年,Web浏覽已經變得不那麼匿名了,很大程度上是因為一個跟蹤用戶Web行蹤的系統,它是以我們稱之為cookies文件為核心的。Cookies文件使網絡站點可以記錄一個用戶的所有行為。通過收集某個用戶浏覽網頁的信息,cookies可以被看成是發送用戶信息到服務器的小型數據發掘者。
Cookies的功能可以用來幫助用戶,比如記錄你購物車中的物品,並且有利於網站運營者進行市場和網絡活動的監測。你不需要對互聯網非常敏感就可以注意到:在訪問一個在線商場後,你之前正在尋找的商品開始出現在其它網頁的橫幅廣告和推薦鏈接上。
為了阻止網站收集用戶信息,浏覽器制作者研發了一種通常稱為“私密浏覽”的模式,它是一個可選設置,用以阻止發送可識別的用戶數據,比如cookies。然而,這個理論與實際應用存在差距,很多用戶都有這樣一個問題:這種私密浏覽方式是否真的是私密的?
私密浏覽是否真的是私密的?
理論上講,私密浏覽可以使得個人上網的時候並不存儲關於他們活動的本地信息。這個選項的預期目的是使用戶的浏覽歷史對分享或使用同一台機器的其他人保密的。為了實現這一點,浏覽器必須禁止創建或者清除歷史項、cookies文件和緩存項目。
浏覽器把它稱為“隱身模式”或“隱形模式”,它通過編造一個身著風衣、聰明的間諜形象來進行私密浏覽。排除炒作的因素,私密浏覽在對需要與其他人共享計算機,或者使用公共計算機時是十分有效和有益的。通過禁止記錄浏覽歷史和不記錄在一個會話中使用的搜索內容和密碼,私密浏覽模式可以阻止後來的機器使用者看到可能的敏感信息。
諸如“私密”、“隱身”和“隱形”等詞語具有誤導性,會給用戶錯誤的安全意識。雖然私密浏覽能夠從所訪問的站點刪除cookies和浏覽歷史,但信息仍然會留在隱藏的緩存中,這些緩存是用於保存頻繁使用數據的臨時存儲空間。同樣地,數據仍然會留在DNS日志,插件和閃存cookies中,以上問題私密浏覽都不能解決。也許更令人不安的是,浏覽器並不保護用戶在私密浏覽和非私密浏覽會話中被跟蹤,因為它們未能隔離這兩者。大多數浏覽器都有插件,而這些插件又有它們自己的跟蹤系統。因此,即使浏覽器不洩露cookies,但並不意味著浏覽器插件不這樣做。另外,如果浏覽器沒有禁用浏覽器擴展(用於擴展浏覽器功能的計算機程序,比如自動翻譯所有頁面成一個特定的語言),當切換回非私密浏覽模式時,私密浏覽信息會被洩露。
啟用私密浏覽模式也不能保證數據不被盜。一個用戶可以直接從一個安全站點到一個惡意站點而沒有任何警告。一旦出現這種情況,一個腳本將會在浏覽器會話時加載到機器上,無論其是否被保存在cookies文件中,這將允許攻擊者獲得用戶的個人數據。如果這個腳本在用戶登錄一個可信任站點時運行,那麼黑客可以獲得登錄憑證和其他身份驗證數據。
然而,許多用戶相信諸如Firefox浏覽器的無腳本插件等附加組件可以為他們提供額外的安全,實際上,這些附加組件可使會話更易受威脅影響,從而增加浏覽器風險。首先,大多數Firefox的插件是未經認證的或者未經Mozilla進行合適的檢查。事實上,在它的法律聲明和限制頁上,Firefox聲明說:因為沒有檢查包含在這些插件裡的所有內容,它不能對這些內容或它們可能會引起的危害負責。這就意味著,雖然保護你,但是這些方便的小的安全腳本可能會收集你的數據。另外,由於是開源的,許多這些附加組件的編碼可能很糟糕,這也是另一個潛在的安全風險。
通過這些誤導性的術語,終端用戶相信他們能夠保護自己,因此實際中可能會更加不注意。雖然印刷精美,盡管有時很難找到,但是大多數人完全不會花時間去閱讀它(術語)。當與一些其它的Web安全網絡浏覽措施一起使用時,比如禁用Java小程序,保持系統的補丁修復以及使用良好的反病毒程序,私密浏覽可以提供一些安全措施,而所有上述的措施都應該成為大多數企業的強制性安全規程。如果依次實施,這些手段可以用來支持一個有效的企業縱深防御策略。然而,私密浏覽不能代替良好的安全常識,或被當成無視網絡安全的雇員訪問互聯網時的安全技術保證。